授予资源链接权限 - Amazon Lake Formation
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授予资源链接权限

按照以下步骤向 Amazon 账户中的委托人授予对一个或多个资源链接的 Amazon Lake Formation 权限。

创建资源链接时,只有您可以查看和访问它。(这假定没有为该数据库启用仅对此数据库中的新表使用 IAM 访问控制。) 要允许您账户中的其他主体访问资源链接,请至少授予 DESCRIBE 权限。

重要

授予对资源链接的权限不会授予对目标(链接)数据库或表的权限。您必须单独授予对目标的权限。

你可以使用 Lake Formation 控制台、API 或 Amazon Command Line Interface (Amazon CLI) 来授予权限。

console
使用 Lake Formation 控制台授予资源链接权限

  1. 请执行以下操作之一:

    • 对于数据库资源链接,请按照使用命名资源方法授予数据库权限中的步骤执行以下操作:

      1. 打开授予数据湖权限页面。

      2. 指定数据库。指定一个或多个数据库资源链接。

      3. 指定主体。

    • 对于表资源链接,请按照使用命名资源方法授予表权限中的步骤执行以下操作:

      1. 打开授予数据湖权限页面。

      2. 指定表。指定一个或多个表资源链接。

      3. 指定主体。

  2. 权限下,选择要授予的权限。(可选)选择可授予的权限。

    “权限”部分包含两个磁贴。每个磁贴都包含一个选项按钮和文本。“资源链接权限”磁贴处于选中状态。另一个磁贴处于禁用状态,因为它与表权限有关。磁贴下方是一组复选框,代表要授予的资源链接权限。这些复选框包括“删除”、“描述”和“超级”。该组下方是另一组相同的复选框,代表可授予的权限。

  3. 选择授权

Amazon CLI
要授予资源链接权限,请使用 Amazon CLI

  • 运行 grant-permissions 命令,指定资源链接作为资源。

    此示例DESCRIBE向 Amazon 账户 1111-2222-3333 中的数据库incidents-linkissues中的表资源链接datalake_user1上的用户授权。

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::111122223333:user/datalake_user1 --permissions "DESCRIBE" --resource '{ "Table": {"DatabaseName":"issues", "Name":"incidents-link"}}'
另请参见: